テレワークを働き方のデフォルトとした場合に見落としやすい自宅ルーター問題
新型コロナウィルス感染症(COVID-19)が広がり、「新しい生活様式」が求められ、その中の一つとしてテレワークが推奨されました。他人との接触を避ける意味で”通勤しない”ことは効果があるでしょう。
しかしながら、テレワークを実現するにあたり、情シスはその為に準備が必要です。今回は忘れられてしまいがちな自宅ルーターについて考えます。
テレワーク(在宅勤務)という働き方がデフォルトになると?
従来、多くの企業ではFirewallを用いた境界型防御を採用してきました。社内ネットワークを外部から分離し、その内側は安全という考え方です。これは会社に物理的に出勤し、社内で業務を行う場合には適しています。
その後、出張や外出先から社内ネットワークにアクセスするためにVPNが使われるようになりました。
しかしながら、テレワークとなるとどうなることでしょう? 会社に出勤することがなくなるので、社内ネットワーク自体が不要になると言っても過言ではないでしょう。 もちろん、社内(基幹)システムなども社内システムにぶら下がっているので、すぐになくすことはできないかもしれませんが、中小企業であればスクラッチで社内システムを構築するなどは稀でしょうから、中期的な視点で移行することは可能でしょう。
また、短期的な視点では、現状の仕組みをそのまま使うことも可能ですが、その場合はVPN接続機器を追加したり、回線の帯域を確保(増強)するなどの措置が必要となると思います。
今後、テレワークという働き方をデフォルトとするのであれば、それに見合った仕組みを活用する方が良いかもしれません。
もっとも簡単な方法はクラウドサービスの活用
テレワークは、場所に縛られない働き方と言えます。社員がどこからでもアクセスしても良い環境づくりが求められます。
それを簡単に実現するのはクラウドサービスの活用ではないでしょうか?
業務用アプリケーションの最たるものである「Office」だって、今やクラウドサービスなのです。
また、先に述べたように自社で独自に開発したシステムがある場合は、その移行をどうするか長期的視点で考える必要はありますが、これを機会にDX(Digital Transformation)を検討するのも一つかもしれません。
ご存じとは思いますが、”Transformation”は「変化, 変質, 変換, 変容」を意味しています。 ですので、自社の経験に基づき行っていた業務も、効率化やコスト、インフラといった観点から見直すきっかけになります。
特別な社内システムを有していないごく一般的な企業では、Excel、Word、PowerPointのOfficeアプリを使い、ファイルサーバーで社内データ共有、それ以外はメールというのがまだまだあることでしょう。
そのような場合、どのような構成にすればクラウドサービス活用に切り替えられるのでしょうか?
以下にその一例を記載します。
図1:特別な社内システムを有していない企業におけるクラウド活用の概念図
端末セキュリティに関しては数多くのソリューションが存在します。また求めるセキュリティ強度により価格も様々です。
個人的にはセキュリティの脅威は人為的に発生することが多いことから、Sandbox(サンドボックス)相当の機能を有し、隔離された領域でプログラムを実行することで、問題発生時においてもほかのプログラムに影響を及ぼさないようにする仕組みが欲しいところです。(後程紹介する次世代SWGで対応するという方法もあります)
また、特に中小企業の情シスにおいては、常に脅威を監視し、これに対処することは不可能です。そのことからも安価なSOC(セキュリティ オペレーション センター)サービスについても活用をしたいところです。
ここまでについては、コロナ禍であろうがなかろうが情シスとしては手を付けておきたい部分ではないでしょうか。
しかしながら、セキュリティへの考え方は様々です。最近ではゼロトラストが話題ですが、これを実現するにも様々な企業がそれぞれの哲学によってソリューション提案している状況です。まだ「これだ!」という決定的なものは存在していないと言えるでしょう。その為、その導入には知識もコストも必要になるので、大企業ならともかく、人材も乏しい中小企業にはあまり向いているとは言えないかもしれません。
上記のモデルにおいて、SSO(シングルサインオン)は、ID/パスワード管理するだけでなく、利用するクラウドサービスのアクセスコントロールも可能になります。
また、SSOのサービスは既にokta、onelogin、HENNGE Oneなどいくつもサービスが存在します。例えばGMOグローバルサインが提供するTrustLoginは5,000以上の対応アプリがあるにもかかわらず、月額100円から提供しているなど、どこまで使うか次第では安価に構築することも可能です。
SWG(セキュアWebゲートウェイ)は、有害サイトのフィルタリングから始まりましたが、今の時代に即した次世代SWGに注目が集まっています。netskope(ネットスコープ)をはじめ、McAfee(マカフィー)やSymantec(シマンテック)などからサービスが提供されはじめることにより、更なる選択肢が増えていくことでしょう。
このような仕組みを用いることで、ある程度セキュリティは保たれ、且つ、社員の手間もあまりかけずに運用が可能になるのではないでしょうか?(ある程度というのは、セキュリティに100%はないからです)
このようなインフラ構成の上で、Microsoft 365やBox(クラウドストレージ)、会計管理、労務管理、勤怠管理、経費精算などのクラウドサービスを組み合わせることで、デフォルトテレワークな環境が構築できます。
忘れてしまいがち!?な自宅ルーター
企業側のネットワークやシステム構成がデフォルトテレワークに対応したとします。その時に見落としがちなのが、テレワークで使われる自宅ルーターです。
図2:忘れ去られる自宅ルーターのセキュリティ
会社支給PCのOS更新をはじめとする各種設定を、企業のセキュリティポリシーですべてカバーしていたとしても、各家庭のルーターは、情シスの手が届かない部分です。テレワークでは、自宅のネットワークにどんなデバイスが接続しているのか、最新のファームウェアがルーターに適用されているのか、ルーターを保護するパスワードは強固なものか(または、そもそも工場出荷時の既定のパスワードから変更されているか)などを情シスは知ることができません。
テレワークが市民権を得れば、自宅ルータを狙った手口がいろいろと考えだされ、さらに増加することでしょう。
そもそも家庭用ルーターには既知の脆弱性を抱えているものも大量に存在します。
サイバー犯罪者は脆弱性を利用してルーターを完全に掌握し、MiraiのようなIoTボットネットを構築することが可能です。乗っ取られた何万台、場合によっては何十万台ものルーターで構成されるボットネットは、さまざまな犯罪目的に利用されます。ルーターも一種の小型コンピューターであると認識し、その対策を施す必要があります。
実際、多くの情シスの方はこの自宅ルーター問題はわかっているという方が多いのではないかと思います。
しかしながら、これに手を付けるのは難しい問題であることから、あえて「目をつむっている」のかもしれません。
各キャリアから登場している5Gホームルーターの普及や社会的に必要性が認められることがカギかもしれません。
安全の為には
サイバー犯罪者は、VPNの乗っ取りや外部OSをロードさせたりするなどして社内システムへの侵入を試みます。
このような攻撃から業務用PCを保護するには、以下の対策などが有効です。頭の片隅にでも入れておいてください。
- VPNのモードをスプリットトンネルではなく、強制トンネルモードを選ぶ
- BIOS設定でPXEを無効にする
- PCのハードドライブ全体を暗号化する(WindowsであればBitLockerを使用するなど)
テレワークやハイブリッドワークを採用する企業においてインフラのセキュリティレベルを強化するには、社員が自宅で使用するルーターのセキュリティについて理解することが不可欠です。
コストはかかりますが、テレワークする従業員には設定済みのルーターを支給し、企業リソースにはそのルーター経由でないと接続できないようにするというのも一つの方法です。
これに加え、現代の脅威にはどう対策すべきか、社員向けトレーニングを実施することもネットワークセキュリティには必要な要素と言えます。
テレワーク時の自宅ルーターへのセキュリティ対策、やるやらないは別として、一度は考えておく必要があるでしょう。
【執筆:編集Gp ハラダケンジ】